Articoli

Dati personali contenuti in una biobanca: annullato il blocco statuito dal Garante Privacy

Avv. Flaviano Sanzari

Con la recente sentenza n. 1569/2017, il Tribunale di Cagliari ha annullato il provvedimento del Garante Privacy di blocco del trattamento dei dati personali contenuti in una biobanca, emesso lo scorso 6 ottobre 2016 nei confronti di una società inglese specializzata in ricerca scientifica e sviluppo di farmaci antitumorali.

Nella fattispecie, la ricorrente è una società con sede legale a Londra, che ha l’obiettivo specifico di studiare e sviluppare nuovi farmaci di precisione, che agiscono principalmente sulle cellule cancerose, con un impatto minimo sulle cellule sane.

La difficoltà nello sviluppare un farmaco con tali caratteristiche, è proprio quella di individuare con precisione i geni, ovvero i segmenti di DNA che causano le malattie tumorali, in quanto il corredo genomico di ogni individuo è influenzato da contaminazioni genetiche e ambientali.

Pertanto, allo scopo di proseguire nella propria attività di ricerca scientifica, la società ricorrente aveva acquistato dal fallimento della società Shar.Dna S.r.l., dichiarata fallita dal Tribunale di Cagliari il 27.5.2012, il complesso aziendale comprendente una banca di dati genetici e campioni biologici estratti da circa 11.700 individui abitanti in Ogliastra e appartenenti ad una comunità che, rimanendo per molti anni isolata, ha sviluppato una omogeneità genetica tale da consentire di ricostruire tracce genetiche comuni in quasi tutti i donatori, così da arrivare sino all’anno 1600.

Il complesso aziendale della Shar.Dna S.r.l., così composto, è stato aggiudicato alla ricorrente, la quale ha costituito in Italia una società ad hoc per poter proseguire in Sardegna le attività di ricerca scientifica sul genoma umano e sui farmaci antitumorali.

A distanza di pochi mesi, il Garante per la Protezione dei Dati Personali, in risposta ai reclami e le segnalazioni inoltrate da un centinaio di donatori che lamentavano l’impossibilità di esercitare i loro diritti in relazione alla revoca del consenso al trattamento dei dati personali, già rilasciato in precedenza ovvero alla manifestazione del consenso al loro trattamento da parte del nuovo titolare, ha emesso in data 6.10.2016 il provvedimento impugnato, con il quale, ai sensi degli artt. 154, comma 1, lett. d), 143, comma 1, lett. c) e 144 del Codice Privacy, ha disposto in via d’urgenza e con effetto immediato, nei confronti della società ricorrente, la misura temporanea di blocco del trattamento dei dati personali contenuti nella biobanca.

In particolare, in tale provvedimento il Garante Privacy ha posto una vera e propria questione relativa al mutamento del titolare del trattamento dei dati personali e, ritenendo necessaria una verifica sulla sussistenza di un valido presupposto legittimante rispetto al nuovo soggetto giuridico divenuto titolare del trattamento, ha ritenuto che tale presupposto debba derivare da una nuova manifestazione del consenso da parte degli interessati, previa informativa ad hoc, così come previsto dalla disciplina sulla protezione dei dati personali in relazione all’utilizzo di dati sensibili e genetici per scopi di ricerca scientifica (Autorizzazione Generale n. 8/2014 del Garante Privacy).

Il Tribunale di Cagliari, chiamato a pronunciarsi proprio su tale aspetto, pur evidenziando la sussistenza di un’ampia ed articolata motivazione sulla quale si è basato il provvedimento del Garante Privacy, ha tuttavia accolto il ricorso della società inglese, rilevando la totale assenza dei presupposti richiesti dalla legge per l’adozione del provvedimento impugnato, nonché l’omesso bilanciamento degli interessi coinvolti nel caso in esame.

Il primo aspetto che emerge nella pronuncia in esame riguarda l’assenza, nel nostro ordinamento giuridico, di una disposizione di legge che disciplini in modo specifico proprio l’ipotesi in cui l’originario titolare del trattamento dei dati personali venga sostituito da un altro titolare: tale questione, tra l’altro, sembra non essere mai stata affrontata nemmeno dalla giurisprudenza italiana di merito o di legittimità.

In tal senso, il Tribunale di Cagliari, richiamando l’Autorizzazione Generale n. 8/2014 del Garante Privacy, ha evidenziato che solamente il punto 8.1 prevede che, nel caso in cui i progetti di ricerca realizzati su dati genetici non siano direttamente collegati con quelli originari per i quali è stato originariamente acquisito il consenso informato degli interessati, è necessaria l’acquisizione di una nuova manifestazione del consenso.

Ciononostante, tuttavia, non vi è alcuna disposizione in relazione al subentro di un nuovo titolare del trattamento dei dati personali che continui a trattare i dati personali per la realizzazione dei medesimi scopi scientifici per i quali il consenso degli interessati è stato originariamente già raccolto.

Per tali ragioni, il Tribunale adito ha ritenuto errata la soluzione adottata dal Garante per la Protezione dei Dati Personali, in quanto difetta di un idoneo presupposto giuridico, non potendo condividersi la considerazione secondo la quale “l’intuitus personae appare caratteristica essenziale del conferimento del dato”.

Infatti, come risulta dalla lettura del consenso informato originario, lo stesso aveva ad oggetto la partecipazione al programma di ricerca sulle malattie complesse comuni ad alcuni paesi dell’Ogliastra, in considerazione dell’alta omogeneità genetica, che favorisce l’identificazione dei geni associati ad alcune malattie specifiche; ebbene la ricorrente ha dimostrato di perseguire le medesime finalità di ricerca scientifica per le quali è stato prestato il consenso originario.

Inoltre, richiedere una nuova manifestazione del consenso in ragione del mutamento della soggettività del titolare non può considerarsi quale presupposto sufficiente per l’adozione del provvedimento impugnato, anche in ragione del fatto che, molto spesso, laddove il titolare del trattamento dei dati personali sia una società di capitali, la stessa potrebbe mutare i suoi scopi senza mutare la sua soggettività.

In definitiva, il Tribunale si è pronunciato in favore della società ricorrente, accogliendo il ricorso e per l’effetto annullando il provvedimento di blocco del trattamento dei dati personali adottato dal Garante per la Protezione dei Dati Personali, stabilendo che l’imposizione di una misura cautelare di blocco del trattamento dei dati personali, motivata dalla necessità di acquisire una nuova manifestazione del consenso, oltre che non essere prevista da alcuna disposizione di legge, è altresì esorbitante rispetto alle finalità e alla tutela dei soggetti coinvolti, che avevano prestato originariamente il consenso, tenuto conto che la ricorrente: a) persegue le medesime finalità dell’originario titolare del trattamento dei dati personali; b) è una società operante a livello internazionale nella ricerca scientifica; c) si propone di operare stabilmente, attraverso la società italiana costituita ad hoc, nel territorio sardo l’attività di ricerca scientifica; d) non vi è motivo di ritenere che si renda responsabile di violazioni di norme di legge in materia di trattamento di dati personali; e che e) il singolo interessato può sempre esercitare i propri diritti così come previsti dal Codice in materia di protezione dei dati personali.

Non viola la privacy la moglie che chiede alla banca l’estratto conto del marito

La moglie che chiede e ottiene dalla banca notizie sull’estratto conto del marito, da usare poi nella causa di separazione, non viola nessuna norma sulla privacy. La Corte di Cassazione, con la recente ordinanza n. 20649 depositata il 31.8.2017, ha respinto – dichiarandolo inammissibile – il ricorso di un uomo che chiedeva alla moglie i danni per avere invaso illecitamente il diritto alla riservatezza dei propri dati. La Suprema Corte ha precisato che, con l’ordinanza impugnata, la Corte d’Appello aveva richiamato la motivazione dei giudici di prima istanza, secondo i quali, nel richiedere informazioni o documenti all’istituto di credito, la signora non aveva violato nessuna norma di legge, né aveva tenuto un comportamento fraudolento. In più, la Corte territoriale aveva aggiunto che l’attore non aveva offerto alcuna indicazione del danno che riteneva di aver subìto.

La Corte di Cassazione ha ritenuto, quindi, di non doversi pronunciare nel merito, rilevando come il ricorrente avesse impugnato solamente il capo relativo alla dichiarata legittimità della condotta della donna e non quello sui danni, da solo idoneo, tuttavia, a sorreggere la decisione.

Diritto all’oblio: il tempo non è l’unico elemento da considerare

Avv. Flaviano Sanzari

Il trascorrere del tempo è senz’altro l’elemento più importante nell’ambito delle richieste riguardanti l’esercizio del cosiddetto “diritto all’oblio”, il quale, tuttavia, può incontrare altri rilevanti limiti, come precisato dalla giurisprudenza comunitaria e dal lavoro condotto dal Gruppo dei Garanti europei.

A tal proposito, l’Autorità italiana ha fatto applicazione di questi insegnamenti esaminando un recente ricorso presentato da un alto funzionario pubblico, che chiedeva la rimozione di alcuni url dai risultati di ricerca ottenuti digitando il proprio nominativo su Google. Questi url, infatti, rinviavano ad articoli nei quali erano riportate notizie relative ad una vicenda giudiziaria nella quale lo stesso era stato coinvolto e che si era conclusa con la sua condanna. Si trattava di una vicenda molto risalente nel tempo (circa 16 anni fa) e l’interessato era stato nel frattempo integralmente riabilitato.

Uno degli articoli di cui si chiedeva la rimozione era stato pubblicato nell’imminenza dei fatti ed altri, invece, più recenti, avevano ripreso la notizia originaria, riproponendola in occasione dell’assunzione di un importante incarico da parte dell’interessato.

Prima di entrare nel merito, il Garante ha affermato – contrariamente a quanto sostenuto dalla difesa di Google – che era necessario prendere in esame tutti i risultati di ricerca ottenuti a partire dal nome e cognome dell’interessato, anche quelli associati ad ulteriori specificazioni, quali il ruolo ricoperto o la circostanza dell’avvenuta condanna. Tale interpretazione è in linea con la sentenza “Google Spain”, nella quale si afferma che le istanze di deindicizzazione devono essere prese in considerazione per tutti gli url raggiungibili effettuando una ricerca “a partire dal nome”, senza escludere  quindi la possibilità che ad esso possano essere associati ulteriori termini volti a circoscrivere la ricerca stessa.

Chiarito questo punto, l’Autorità è entrata nel merito ed ha ordinato a Google di deindicizzare l’url che rinviava all’unico articolo avente ad oggetto, in via diretta, la notizia della condanna penale inflitta al ricorrente, il quale all’epoca ricopriva un ruolo diverso da quello attualmente svolto. L’Autorità ha ritenuto infatti che, considerato il tempo trascorso e l’intervenuta riabilitazione, la notizia non risultasse più rispondente alla situazione attuale.

Viceversa, con riguardo agli articoli ai quali rinviavano gli ulteriori url indicati dal ricorrente, il Garante ha riconosciuto che questi, pur richiamando la medesima vicenda giudiziaria, “inseriscono la notizia in un contesto informativo più ampio, all’interno del quale sono fornite anche ulteriori informazioni” legate al ruolo istituzionale attualmente ricoperto dall’interessato e che tali risultati erano di indubbio interesse pubblico “anche in ragione del ruolo nella vita pubblica rivestito dal ricorrente, che ricopre incarichi istituzionali di alto livello”. Pertanto, riguardo alla richiesta di una loro rimozione, ha dichiarato il ricorso infondato.

Non viola la privacy la telecamera privata puntata sulla scala condominiale

La Corte di Cassazione Penale, con la recente sentenza 12 luglio 2017, n. 34151, si è pronunciata su un ricorso proposto avverso la sentenza con cui la Corte d’appello, andando di contrario avviso rispetto al Tribunale, aveva assolto un imputato dal reato di interferenze illecite nella vita privata. L’uomo aveva installato una telecamera sul muro del pianerottolo condominiale, nella parte contigua alla porta d’ingresso della propria abitazione, con cui inquadrava la porzione di pianerottolo prospiciente la porta suddetta, nonché la rampa delle scale condominiali e una larga parte del pianerottolo condominiale, in tal modo videoregistrando chiunque entrasse nel raggio d’azione della telecamera. La Suprema Corte – nel respingere la tesi della parte civile, vicino di casa dell’imputato, secondo cui la Corte d’appello aveva male interpretato l’art. 615/bis c.p. e la giurisprudenza formatasi sul punto, in quanto il pianerottolo condominiale costituirebbe “appartenenza” di un luogo di “privata dimora” ai sensi dell’art. 614 c.p. (richiamato dall’art. 615 bis c.p.) – ha invece affermato che le scale di un condominio e i pianerottoli delle scale condominiali non assolvono alla funzione di consentire l’esplicazione della vita privata al riparo da sguardi indiscreti, perché sono, in realtà, destinati all’uso di un numero indeterminato di soggetti e di conseguenza la tutela penalistica di cui all’art. 615 bis c.p. non si estende alle immagini eventualmente ivi riprese.

Tempo scaduto per la conservazione: vecchi dati telefonici da distruggere

Scade l’obbligo, per gli operatori telefonici e gli internet provider, di conservare i dati del traffico telefonico e telematico più vecchi, precedenti cioè i termini ordinari di conservazione. Ed è allarme sulle inchieste per i reati più gravi, mafia o terrorismo, che di questi termini più ampi si sono fin qui potute giovare.

L’obbligo sulla cosiddetta data-retention, infatti, era stato introdotto dal decreto antiterrorismo del 2015 (Dl n. 7), che per esigenze investigative ha imposto, fino al 30 giugno 2017, il mantenimento di tutti i dati di traffico, in deroga ai vincoli del codice della privacy, a partire dal 21 aprile 2015 (data di entrata in vigore della legge di conversione del decreto legge).

Ora, superata la scadenza del 30 giugno senza che il legislatore sia intervenuto (e, a quanto risulta, senza che abbia mostrato la volontà di intervenire), tornano ad applicarsi le regole base, quelle cioè previste dal codice della privacy, per cui i dati del traffico telefonico devono essere conservati per 24 mesi dalla comunicazione e quelli telematici per 12 mesi. Ciò vuol dire che, oggi, i gestori telefonici devono tenere solo le informazioni relative alle comunicazioni effettuate da due anni a questa parte (cioè, dal 3 luglio 2015 fino a oggi), mentre gli operatori internet devono conservare i dati relativi agli accessi dell’ultimo anno (vale a dire dal 3 luglio 2016 a oggi). Di conseguenza, tutti i dati precedenti, possono (devono?) essere distrutti da chi li detiene.

Con buona pace delle inchieste sui reati più gravi, dal terrorismo alla mafia come detto, che il decreto legge del 2015 intendeva invece tutelare.

Privacy Shield: a settembre la prima revisione dell’accordo Usa-Ue

Avv. Flaviano Sanzari

Il Gruppo che riunisce le Autorità Garanti europee (WP 29) ha reso note le raccomandazioni indirizzate alla Commissione Ue in vista della prima revisione congiunta dell’Accordo “Privacy Shield” relativo al trasferimento dei dati dall’Unione agli Stati Uniti. L’Accordo sullo “scudo privacy”, adottato il 12 luglio 2016, si fonda su un sistema di autocertificazione in base al quale le organizzazioni statunitensi che intendono ricevere dati personali dall’Unione europea s’impegnano a rispettare un insieme di principi in materia di privacy fissati dal sistema medesimo. Lo “scudo” prevede un riesame periodico dell’accertamento di adeguatezza, al fine di verificare che le constatazioni relative al livello di protezione assicurato dagli Stati Uniti nell’ambito dello Scudo continuino ad essere giustificate in fatto e in diritto.

La prima revisione periodica dell’accordo del Privacy Shield è prevista per il prossimo settembre 2017, quando la Commissione europea incontrerà i rappresentanti delle organizzazioni statunitensi interessate, in primo luogo la Federal Trade Commission e il Dipartimento del Commercio e, per le questioni relative alla sicurezza nazionale, i rappresentanti dell’intelligence e il Mediatore (Ombudsperson) istituito dallo Scudo.

Per garantire che le autorità statunitensi siano in grado di rispondere costruttivamente alle preoccupazioni riguardanti l’applicazione concreta dell’accordo, il Gruppo dei Garanti Ue comunicherà alla Commissione le informazioni e i chiarimenti su cui, anche alla luce dei commenti e delle criticità già evidenziate nel parere del dell’aprile scorso,  concentrerà la sua attenzione.

Per quanto riguarda la parte commerciale, alcune preoccupazioni erano state sollevate, ad esempio, sulle garanzie riguardo a decisioni automatizzate o in relazione all’assenza di indicazioni specifiche per l’applicazione dei principi del Privacy Shield da parte delle società che operano, quali responsabili del trattamento, per titolari stabiliti in Ue. Per quanto riguarda gli aspetti di law enforcement e sicurezza nazionale, il WP 29 chiederà garanzie  in merito al rispetto dei principi di necessità e proporzionalità nella eventuale raccolta massiva di dati personali,  nonché sulle nomine dei quattro membri del Privacy and Civil Liberties Oversight Board (agenzia indipendente che si occupa della tutela della privacy e delle libertà fondamentali nell’ambito delle attività governativa statunitense per la lotta al terrorismo), sulla nomina del Mediatore e sulle procedure che ne disciplinano il funzionamento.

 

Regolamento Privacy UE: reclami, ricorsi e azioni per il risarcimento del danno

Avv. Flaviano Sanzari

Rispetto alla disciplina del Codice Privacy (D.Lgs. 196/2003), il nuovo Regolamento UE 2016/679 reca alcune novità anche in materia di reclami, ricorsi e azioni esperibili in ipotesi di trattamento di dati non conforme alla legge. In particolare, (1.) sono ora assenti gli strumenti della segnalazione e del ricorso amministrativo all’autorità di controllo (Garante), (2.) vi è dissociazione tra autorità adita e autorità decidente nell’ipotesi di attività di trattamento transfrontaliere per quanto riguarda l’istituto del reclamo e, per finire, (3.) vi è la previsione che il titolare (e/o il responsabile) sarà tenuto a risarcire il danno se non dimostra che esso non gli è “in alcun modo” imputabile.

  1. Il Titolo I (“Tutela amministrativa e giurisdizionale”) della Parte III (“Tutela dell’interessato e sanzioni”) del Codice Privacy, con gli articoli da 141 a 152, disciplina gli strumenti:

– del reclamo circostanziato al Garante (per rappresentare una violazione della normativa ‘privacy’);

– della segnalazione al medesimo (quando non è possibile presentare un reclamo circostanziato ed al fine di sollecitare un controllo da parte del Garante sul rispetto della disciplina);

– del ricorso, da presentare al Garante o dinanzi alla competente Autorità giurisdizionale al fine di ottenere quanto riconosciuto dall’art. 7.

Sono invariabilmente strumenti a disposizione degli interessati, cioè delle persone cui sono riferiti i dati oggetto dei trattamenti.

Poi, è prevista l’ipotesi in cui un provvedimento del Garante accolga o rigetti il ricorso di cui sopra: in tal caso, tanto l’interessato quanto il titolare del trattamento avranno il diritto di proporre opposizione, con ricorso al competente tribunale ex art. 152. Per l’art. 152, anzi, “tutte le controversie che riguardano, comunque, l’applicazione delle disposizioni del presente codice, comprese quelle inerenti ai provvedimenti del Garante in materia di protezione dei dati personali o alla loro mancata adozione, nonché le controversie previste dall’articolo 10, comma 5, della legge 1° aprile 1981, n. 121, e successive modificazioni, sono attribuite all’autorità giudiziaria ordinaria” (per inciso, il comma 5 dell’art. 10 della L. 121/1981 così recita: “Chiunque viene a conoscenza dell’esistenza di dati personali che lo riguardano, trattati anche in forma non automatizzata in violazione di disposizioni di legge o di regolamento, può chiedere al tribunale del luogo ove risiede il titolare del trattamento di compiere gli accertamenti necessari e di ordinare la rettifica, l’integrazione, la cancellazione o la trasformazione in forma anonima dei dati medesimi”).

Il Regolamento 2016/679, invece, al Capo VIII (“Mezzi di ricorso, responsabilità e sanzioni”), dedica 6 disposizioni alla materia – artt. dal 77 all’82 – dando vita agli strumenti del:

– reclamo (art. 77) e del

– ricorso giurisdizionale nei confronti dell’autorità di controllo (art. 78) e nei confronti del titolare e/o del responsabile del trattamento (art. 79).

Seguono la disciplina della rappresentanza degli interessati (art. 80) e quella dell’ipotesi in cui, essendo le norme del Regolamento valide in tutta l’UE, più azioni giurisdizionali aventi il medesimo oggetto siano (state) azionate in differenti Paesi (art. 81).

Infine, l’art. 82 disciplina la fattispecie dell’azione risarcitoria, a fronte di un danno (anche immateriale) cagionato mediante una violazione della disciplina sul trattamento dei dati personali.

Il Regolamento, quindi, conferma lo strumento del reclamo, ma perde – almeno, così appare – la segnalazione e il ricorso all’autorità di controllo.

Tuttavia, nulla sembra ostare ad una permanenza degli istituti del Codice Privacy, se non c’è contrasto con la disciplina del Regolamento. Il quale, oltretutto, con l’art. 77 fa “salvo ogni altro ricorso amministrativo o giurisdizionale” da parte dell’interessato che “ritenga che il trattamento che lo riguarda violi il presente regolamento.” E’ probabile che il legislatore (italiano) vorrà intervenire a formalizzare un assetto che individui inequivocamente gli strumenti a disposizione dell’interessato in via amministrativa. Per il resto, il reclamo previsto dal Regolamento non differisce nella sostanza da quello del Codice Privacy. L’attributo “circostanziato”, che caratterizza il reclamo “italiano”, pare dovuto all’esigenza di differenziarlo rispetto alla segnalazione.

  1. L’art. 77 individua l’autorità di controllo presso cui il reclamo deve essere presentato, ossia quella dello Stato UE in cui l’interessato “risiede abitualmente”, ovvero “lavora”. In alternativa, è possibile rivolgersi a quella dello Stato in cui la presunta violazione ha avuto luogo.

Nel caso di trattamenti transfrontalieri, la vicenda può complicarsi, potendo succedere che l’autorità di controllo adita (dall’interessato) non corrisponda a quella (evidentemente, di altro Stato membro) chiamata a decidere sul reclamo.

In base all’art. 56, par. 1, “l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare (…) è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri”. Se, però (par. 2), l’eventuale violazione “riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro”, l’autorità di controllo adita può dirsi competente per assumere la decisione, anche se sarà comunque l’autorità di controllo capofila (par. 3) – una volta informata – a dire l’ultima parola sul punto.

Due sono le possibili decisioni:

– l’autorità capofila decide di non trattare il caso e allora vi provvederà l’autorità adita, ma “conformemente agli articoli 61 e 62”, che disciplinano, rispettivamente, le fattispecie di “assistenza reciproca” e di “operazioni congiunte delle autorità di controllo”;

– l’autorità capofila decide di trattare il caso e, per conseguenza, l’autorità adita (par. 4) potrà presentarle un progetto di decisione, che la prima valuterà, tenendola “nella massima considerazione”. La procedura di riferimento è dettata dall’art. 60, che, al par. 7, stabilisce che la decisione viene adottata dall’autorità capofila, la quale a sua volta provvede a notificarla al titolare, ad informarne le autorità di controllo interessate e il comitato europeo per la protezione dei dati. Spetta, quindi, all’autorità di controllo presso cui il reclamo è stato proposto la comunicazione della decisione al reclamante.

  1. Specifica trattazione, all’interno del Regolamento, nella parte riguardante la tutela giurisdizionale, è dedicata all’azione di risarcimento del danno, “causato da una violazione del presente regolamento”.

I soggetti convenuti sono il titolare e/o il responsabile, eventualmente anche in solido per l’intero ammontare del danno (art. 82.4), ove la responsabilità pertenga al medesimo danno cagionato. Stessa solidarietà, alla medesima condizione, può riguardare più titolari del trattamento.

L’esonero dalla responsabilità è legato alla dimostrazione (verosimilmente, una autentica probatio diabolica) da parte del titolare e/o responsabile che “l’evento dannoso non gli è in alcun modo imputabile.” Il meccanismo è quello dell’inversione dell’onere della prova, per cui in mancanza di tale dimostrazione una responsabilità sarà comunque accertata in capo a detti soggetti.

Interessante è la previsione di cui all’art. 80, che al par. 1 riconosce il diritto dell’interessato di dare mandato, per essere rappresentato in giudizio, ad un organismo, ad un’organizzazione, ad un’associazione senza scopo di lucro, debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore “privacy”. Questi soggetti hanno la possibilità di proporre non solo le azioni sin qui viste, ma anche – ove previsto dal diritto interno dello Stato membro – di rivolgersi al giudice per la richiesta di risarcimento del danno.

Chiude la disposizione il par. 2, che riconosce ai soggetti sopra richiamati il diritto di proporre reclamo e di presentare ricorsi giurisdizionali anche laddove non abbiano ricevuto mandato dagli interessati, ma pur sempre per tutelare la posizione di costoro a fronte di violazioni del Regolamento nello svolgimento di attività di trattamento dei dati.

Pubblicazioni sul web e diritto all’oblio

La recente giurisprudenza ribadisce che la tutela del diritto alla reputazione va contemperata con il diritto di e alla informazione, nonché con il diritto di cronaca; ma il soggetto interessato ha diritto a che l’informazione che lo riguarda risponda ai criteri di proporzionalità, necessità, pertinenza allo scopo, esattezza e coerenza con la sua attuale ed effettiva identità.

Pertanto, sussiste il diritto all’oblio e, cioè, a che non vengano ulteriormente divulgate informazioni (potenzialmente) lesive della reputazione in quanto divenute prive di interesse rispetto alla collettività, sia pure locale, stante il lasso di tempo intercorso dall’accadimento del fatto che ne costituisce l’oggetto, sicché il relativo trattamento viene a risultare non più giustificato.

Comunicare dati necessari non è un obbligo

Avv. Flaviano Sanzari

La Corte di giustizia dell’Unione europea, con una sentenza depositata lo scorso 4 maggio (causa C-13/16), ha precisato che uno Stato Ue può anche non prevedere che siano comunicati al danneggiato i dati personali del soggetto ritenuto responsabile, anche quando ciò è necessario per la tutela di un interesse legittimo. Il diritto dell’Unione non lo impone: si limita a stabilire che, qualora lo Stato abbia una norma che stabilisce l’obbligo di comunicazione, esso è condizionato a tre requisiti.

In particolare, è stata la Corte suprema lettone, sezione del contenzioso amministrativo, a rivolgersi alla CGE. Una società di filobus urbani aveva subito un danno perché un passeggero di un taxi, aprendo la portiera, aveva causato un incidente. La compagnia di taxi si era opposta a ogni richiesta di risarcimento ritenendo responsabile il passeggero. Di conseguenza, la società di filobus aveva chiesto alla polizia municipale di avere informazioni sul cliente, ma aveva avuto una risposta parziale, senza l’indicazione del numero del documento di identità e del domicilio. La Corte lettone, prima di decidere, ha chiesto alla Corte Ue di chiarire se la direttiva 95/46 (recepita in Italia con il D.lgs 196/2003) sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati, impone la trasmissione delle informazioni.

Nodo della questione è l’articolo 7 della direttiva (che sarà sostituita dal 25 maggio 2018 dal regolamento n. 2016/679), in base al quale gli Stati possono prevedere la comunicazione dei dati, tra l’altro, nei casi in cui sia necessario per il perseguimento di un interesse legittimo del responsabile del trattamento o di un terzo. A patto, però, che non siano compromessi i diritti e le libertà fondamentali della persona interessata.

In ogni caso – chiariscono i giudici europei – l’articolo 7 non prescrive un obbligo di comunicazione dei dati a un terzo, ma prevede unicamente che lo Stato si avvalga della possibilità – nell’ambito del margine di discrezionalità attribuito dalla direttiva – di prevedere un simile obbligo. Che deve comunque sottostare a tre condizioni cumulative: un interesse legittimo del responsabile del trattamento o di terzi, la necessità dello stesso trattamento e la non prevalenza su diritti e libertà fondamentali della persona interessata.

Per la Corte Ue, è evidente che il terzo che vuole ottenere informazioni personali su una persona che ha danneggiato il suo mezzo persegue un fine legittimo.

Per quanto riguarda la seconda condizione, ossia la necessità del trattamento, la Corte Ue riconosce che le autorità nazionali avevano trasmesso unicamente l’indicazione del nominativo, rendendo così difficile un accertamento per l’esercizio dell’azione giudiziaria. Pertanto, secondo la CGE, era necessario anche indicare il numero del documento di identità e il domicilio.

Sul fronte dell’ultima condizione, ossia che non siano compromessi i diritti fondamentali della persona interessata dal trattamento, la Corte richiede una ponderazione “dei diritti e degli interessi contrapposti” che vanno valutati sul caso concreto.

Fermo restando che uno Stato può legittimamente non prevedere un obbligo di comunicazione a un terzo, per permettergli un’azione per risarcimento danni causati dalla persona interessata alla tutela dei dati.

 

Data portability: gli aspetti più rilevanti dell’aggiornamento alle linee guida del WP 29

Avv. Flaviano Sanzari

Il Working Party 29, organismo creato tra le autorità della protezione dei dati personali degli stati membri dell’Unione Europea con lo scopo di armonizzare l’applicazione della normativa in materia di trattamento dei dati personali, in data 5 aprile 2017 ha provveduto ad aggiornare le linee guida in materia di portabilità dei dati, il nuovo diritto contenuto nel regolamento europeo n. 679/2016.

Il documento, dopo una breve introduzione in cui si evidenziano gli scopi del nuovo diritto, ovvero quello di riequilibrare i rapporti di forza tra consumatori e imprese, promuovendo altresì, pur se non in maniera esplicita, una maggior concorrenza tra gli operatori del mercato, illustra gli elementi principali della data portability, quando si applica, le modalità concrete in cui tale diritto può essere esercitato, e, infine, le modalità con cui i data controller devono fornire i dati.

Il primo elemento che viene preso il considerazione è il diritto dell’interessato a ricevere l’insieme dei suoi dati personali, posseduti dal data controller, sia per archiviarli su supporto proprio, sia su altro cloud privato. In alte parole, ciò che viene in rilievo è come la trasferibilità ad altro controller sia solo una delle opzioni disponibili.

Infatti, il richiedente, oltre ad aver diritto a ricevere i dati in un formato strutturato in modo comune e intellegibile per inviarli ad un nuovo controller (“in a structured, commonly used and machine-readable format”), alternativamente ha il diritto di riceverli direttamente egli stesso, qualora volesse trattarli personalmente (per i più diversi scopi).

Passando alla disamina legata al controllo sui i dati, le linee guida specificano che i dati vengono trasferiti come richiesti ed in quanto tali, senza riguardo allo scopo per cui vengono richiesti. Corollario di questa considerazione è che il data controller che adempie all’invio dei dati, successivamente non è più responsabile per quello che l’interessato o il nuovo data controller intendono farne (rimanendo, ovviamente, responsabile dei dati se ne conserva copia, la data portability non comportando l’obbligo di cancellazione dei dati trasferiti).

Altro punto importante, nel caso di trasferimento ad altro controller, consiste nell’obbligo posto a carico del primo controller di verificare la genuinità della richiesta ricevuta, nel senso della provenienza e della tipologia di dati richiesti, ad esempio prevedendo delle procedure di verifica, da attivare sia prima che dopo, qualora il consenso all’operazione sia già stato preventivamente dato o il contratto finalizzato. Da questo punto di vista, sembrerebbe che le linee guida vadano incontro ad eventuali problemi tecnici dei data controller, suggerendo l’apposizione di una specifica clausola in tal senso nei termini di servizio, probabilmente in modo da permettere maggior libertà d’azione al data controller dal punto di vita tecnologico.

Proseguendo nella disamina delle linee guida, viene evidenziato come il data controller non sia gravato da particolari obblighi sulla data retention al fine di permettere la data portability. Detto in altri termini, quest’ultima non va a modificare la durata della prima: quando scade il periodo per il quale è possibile detenere il dato, questo va cancellato senza obbligo di conservarlo per permettere l’esercizio del diritto in discussione; né, quindi, tale eventualità può essere usata coma giustificazione per prolungare il trattamento.

Né il trasferimento dei dati può avvenire con pregiudizio degli altri diritti dell’interessato, ivi compresi quelli previsti dal nuovo regolamento stesso. Ad esempio, l’esercizio della portabilità non prevede la cessazione automatica del rapporto tra il soggetto richiedente e il primo data controller, potendo l’interessato continuare ad utilizzare i servizi del primo data controller, ivi comprese tutte le facoltà in tema di privacy (accesso ai dati, loro modifica, etc..).

Poiché la data portability non prevede, di per sé, la cancellazione dei dati dell’utente (non interferendo, come accennato sopra, con la durata del trattamento), quest’ultimo, per questo scopo, dovrà esercitare il diritto all’oblio cui all’art. 17 del regolamento. A quest’ultima richiesta, peraltro, non si potrà opporre la previsione della data portability come scusa per prolungare la data retention.

Passando ai casi in cui si applica il diritto alla portabilità, si evidenzia che questo diritto riguarda tutte le ipotesi in cui il trattamento avvenga sulla base del consenso o in esecuzione di un contratto. Ad esempio, il titolo di un libro acquistato on line costituisce un dato trattato in virtù di un contratto e, pertanto, passibile di portabilità. Invece, i trattamenti effettuati in virtù di obblighi legali, quali, ad esempio, in virtù della normativa antiriciclaggio, non sono soggetti alla portabilità.

Quanto all’individuazione dei dati personali che ricadono sotto la data portability, il primo requisito è che si tratti di dati riguardanti l’utente che ne faccia richiesta, anche nell’ipotesi di dati ceduti sotto pseudonimo, qualora facilmente associabili al richiedente. Con l’espressione “provided by”, peraltro, non si intendono solo i dati forniti direttamente dall’utente, ma anche quelli derivanti dall’osservazione della sua attività (ad esempio, le ricerche su internet).

Dal punto di vista tecnico, le linee guida pongono in evidenza l’esistenza di una best practice consistente nella implementazione, nelle piattaforme digitali, di tool in grado di permettere all’utente di decidere quali dati trasferire e quali no.

In tema di informativa che il data controller deve fornire all’interessato, è previsto che esso fornisca una informativa sull’esistenza del diritto alla portabilità, sia nel caso che i dati vengano forniti dall’utente stesso, sia quando i dati di quest’ultimo arrivino da altre fonte e quest’ultimo eserciti i propri diritti in qualità di interessato. Quanto alle tempistiche, è previsto un termine massimo di un mese (prorogabile fino a tre nei casi di richieste complesse) per soddisfare le richieste degli interessati.

Quanto alla dimensione dei dati da inviare direttamente al richiedente, qualora la loro trasmissione via rete sia difficoltosa per la loro quantità, le linee guida ipotizzano l’utilizzo di sistemi fisici (quali dvd, etc..), o in alternativa l’invio diretto al nuovo data controller se scelto.

Quanto al formato in cui i dati devono essere trasferiti, al richiedente o al nuovo data controller, il regolamento impone che siano trasferiti in un formato riutilizzabile, senza ulteriori specificazioni, lasciando ai data controller ed, in definitiva ,allo stato della tecnologia ed al settore di riferimento presente al momento della richiesta il compito di scegliere.

In conclusione, si può dire che il WP 29, con queste linee guida, mette a disposizione degli operatori del settore una serie d’indicazioni di natura pratica, ancorate a basi giuridiche, ovvero di natura più propriamente empirica, al fine di promuovere l’effettivo esercizio e consolidamento di tale diritto da parte degli interessati, auspicando che si vada nella direzione di una apertura del mercato.